調查:錯誤配置是容器面臨的最高安全性問題
儘管DevOps中容器的採用率正在不斷增長,但對其安全性的擔憂依然十分強烈。根據一項最新調查結果顯示,35%的受訪者認為,他們的公司並沒有對容器安全進行充分投資;而另有15%的受訪者認為,他們的公司並沒有認真對待容器威脅。
該資料結果來自StackRox公司針對230名IT員工進行的一項調查——其中近一半的人將IT安全視為自身的主要角色。在這些受訪者中,超過45%的人受僱於擁有10,000多名員工的大型企業,而58%的人受僱於金融科技或技術領域。在這份名為《容器安全狀態》的報告中,StackRox發現,儘管容器和Kubernetes(一個自動化部署、伸縮和操作應用程式容器的開源平臺)的採用率不斷激增,但大多陣列織並沒有做好充分保護雲原生應用程式的準備。
根據受訪者調查,Docker是最受歡迎的容器執行時(container runtime)——即能夠基於線上獲取的映象來建立和執行容器的程式,有189位受訪者使用;而Kubernetes——最初由Google開發——則是最受歡迎的容器協調器,有122位受訪者使用;Docker Swarm是第二大受歡迎的協調器,有93位受訪者(主要來自擁有5,000名或更多員工的大型組織)使用。
調查結果還顯示,40%的受訪者會在混合環境(內部和雲端)中操作他們的容器;28%的受訪者只是在雲端操作他們的容器;而只在內部操作容器的比例則達到了驚人的32%。就那些在雲中的容器而言,118個使用了AWS,56個使用了Azure,還有39個使用了Google Cloud Platform。考慮到谷歌在容器使用和Kubernetes方面的行業領導地位,這個排名確實有些出乎意料。但是,鑑於我們的調查物件主要為大型企業,這一結果也就變得不足為奇了。
此外,高達54%的受訪者表示,容器協調器中的“配置錯誤”是最大的安全問題。這些問題涉及Docker容器和Kubernetes協調器。其中最著名的“容器攻擊”事件包括髮生在AWS上的Tesla加密挖掘攻擊事件,以及Shopify釋出了有關元資料的漏洞,這兩起事件都是源於對容器協調器的錯誤配置。
2018年2月,RedLock在其一項調查中發現,黑客入侵了Tesla的Kubernetes控制檯,該控制檯沒有密碼保護。在一個Kubernetes Pod中,訪問憑證暴露在Tesla的AWS環境中,該環境包含一個亞馬遜S3儲存桶,該儲存桶有一些敏感資料,比如遙測技術。之後,黑客成功劫持了Kubernetes容器並將其用於加密挖掘活動。當然, 這裡並不是說Kubernetes本身是不安全的,只是訪問容器所需的複雜性和顆粒度仍需改進——這也正是導致受訪者擔心“錯誤配置”的原因所在 。
安全專家解釋稱,Kubernetes所面臨的安全挑戰並不是直接訪問平臺進行登入並發動攻擊。更確切地說,Kubernetes會經常不經意地出現配置錯誤情況,暴露出很多關鍵部分——例如,儀表板,或是可直接訪問元資料等等,惡意行為者通過這些錯誤配置便能夠發動攻擊活動。
而現如今,容器受DevOps支援的趨勢更是進一步加劇了這種情況,而且對DevOps而言,並不強求有安全團隊的參與,這也導致容器安全情況進一步惡化。
如今,使用容器和配置Kubernetes最頻繁的就是DevOps。對於安全團隊而言,真正的挑戰就是參與進制定保護該基礎架構的政策和指南中來。任何容器安全解決方案的目標都應該是幫助實現“將安全性注入DevOps世界”——以便在利用DevOps便捷性的同時,實現更強大的安全性。
安全專家建議稱,像許多強大的平臺一樣,Kubernetes最好也配置一個抽象層。這個安全抽象層能夠凸顯出錯誤配置並查明風險,例如會使資產面臨風險的非必要開放式通訊路徑。
在每一次基礎設施變更浪潮中,人為失誤都是造成大部分安全風險的根源所在,而這種情況對於容器和Kubernetes而言也是一樣。至關重要的是,針對這種基礎架構的安全工具能夠自動標註整個生態系統中最常見的錯誤配置。
以StackRox為例,它就能夠通過簡單地識別所部署容器的廣度來有效地實現資產管理,並保護容器和Kubernetes環境安全。StackRox容器安全平臺有助於保護映像本身,並評估構建過程中的風險,加固環境並減少部署階段的攻擊面,以及在容器“執行時”階段查詢和阻止惡意活動。StackRox平臺與Kubernetes和容器生態系統之間的緊密整合,使安全性在整個生命週期內能夠得以實現。
此類安全工具最好由安全團隊進行管理。對容器安全性的關注,應該成為推動企業DevOps向企業Security DevOps轉型的關鍵力量。
DevOps的影響以及容器化和Kubernetes的快速發展,已經使得應用程式開發變得比以往更加無縫、高效和強大。然而,調查結果卻顯示,安全性仍然是企業容器戰略中的一項重大挑戰。容器為DevOps和安全團隊之間的協作提供了自然的橋樑,但它們也帶來了獨特的風險,如果不加以控制,可能會為企業帶來真正的風險。
《容器安全狀態》報告原文:
https://security.stackrox.com/rs/219-UEH-533/images/StackRox-Report-State_of_Container_Security.pdf
宣告:本文來自安全牛,版權歸作者所有。文章內容僅代表作者獨立觀點,不代表安全內參立場,轉載目的在於傳遞更多資訊。如需轉載,請聯絡原作者獲取授權。